二十八、K8s最小服务漏洞2-OPA

2024-04-27 15:08

本文主要是介绍二十八、K8s最小服务漏洞2-OPA,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、OPA概述

OPA (Open Policy Agent)背后的主要动机是在整个环境中实现统一的策略实施。通常,组织需要在运行其应用程序的环境中应用各种策略。可能需要这些策略来满足合规性要求、实现更高程度的安全性、实现跨多个环境的标准化等。这就需要一种自动化/声明式的方式来定义和执行这些策略。像 OPA 这样的策略引擎帮助我们实现了这样的目标。

OPA 是一个开源的通用策略引擎,可用于在各种类型的软件系统上执行策略,如微服务、CI/CD pipline、网关、Kubernetes等。 OPA 由 Styra 开发,目前是其中的一部分CNCF 的(https://www.openpolicyagent.org/)。

OPA 为我们提供了 REST API,我们的系统可以调用这些 API 来检查请求负载是否满足策略。它还为我们提供了一种高级声明性语言 Rego,它允许我们将要执行的策略指定为代码。这为我们在定义政策时提供了很大的灵活性。
在这里插入图片描述
上图显示了 OPA 的架构。它公开 API,任何需要做出授权或策略决策的服务都可以调用(策略查询),然后 OPA 可以根据策略的 Rego 代码做出决策,并将决策返回给相应地进一步处理请求的服务. 执行由实际服务本身完成,OPA 只负责做出决定。这就是 OPA 成为通用策略引擎并支持大量服务的方式。

二、在Docker中使用OPA

使用K8s集群外一台单独的安装了Docker的设备来执行OPA。

1.创建OPA空规则

首先我们需要创建一个存放OPA规则的目录(固定):

mkdir -p /etc/docker/policies

然后在目录下创建一个允许所有请求的空策略文件authz.rego,内容如下:

package docker.authzallow = true

2.在Docker中安装opa插件:

docker plugin install openpolicyagent/opa-docker-authz-v2:0.8 opa-args="-policy-file /opa/policies/authz.rego"

安装插件并制定策略的位置。容器内的/opa/policies/authz.rego就等于宿主机的/etc/docker/policies/authz.rego,因为opa插件做了卷挂载。接着我们配置 Docker 守护程序以使用插件进行授权:

cat > /etc/docker/daemon.json <<EOF
{"authorization-plugins": ["openpolicyagent/opa-docker-authz-v2:0.8"]
}
EOF

通知 Docker 守护进程重新加载配置文件:

kill -HUP $(pidof dockerd)

查看opa插件是否安装成功:可以看到,已经成功,并且已经启用。

[root@localhost ~]#  docker plugin list
ID             NAME                                      DESCRIPTION                                     ENABLED
8c9fc9b3e798   openpolicyagent/opa-docker-authz-v2:0.8   A policy-enabled authorization plugin for Do…   true

3.编写OPA规则
修改authz.rego文件,内容如下:

package docker.authzdefault allow = falseallow {not deny
}deny {seccomp_unconfined
}seccomp_unconfined {# This expression asserts that the string on the right-hand side is equal# to an element in the array SecurityOpt referenced on the left-hand side.input.Body.HostConfig.SecurityOpt[_] == "seccomp:unconfined"
}

其中default allow表示默认是拒绝所有;deny {xxx} 表示拒绝xxx规则所定义的操作;allow {not deny}则表示除了deny {xxx} 拒绝的,其他都允许。上面的authz.rego的含义就是,拒绝创建具有不受限制的seccomp配置文件容器的请求,由 input.Body.HostConfig.SecurityOpt[_] == "seccomp:unconfined"定义。其中input.Body是固定的,后面的是docker inspect 查看到的。

如何编写OPA规则请查看:https://www.openpolicyagent.org/docs/latest/docker-authorization/

4.验证规则是否生效
运行带有seccomp:unconfined SecurityOpt的容器,可以看到,无法正常创建。报错内容是无法通过OPA 如下规则的检测:input.Body.HostConfig.SecurityOpt[_] == “seccomp:unconfined”。

[root@localhost policies]# docker run -d --restart=always --name=web1 --security-opt seccomp:unconfined nginx
docker: Error response from daemon: plugin openpolicyagent/opa-docker-authz-v2:0.8 failed with error: AuthZPlugin.AuthZReq: 1 error occurred: 1 error occurred: /opa/policies/authz.rego:17: rego_parse_error: unexpected eof tokeninput.Body.HostConfig.SecurityOpt[_] == "seccomp:unconfined"^.
See 'docker run --help'.

三、在K8s集群中使用OPA

Gatekeeper 项目是 OPA 的 Kubernetes 特定实现。Gatekeeper 允许我们以 Kubernetes 原生方式使用 OPA 来执行所需的策略。

在 Kubernetes 集群上,Gatekeeper 作为ValidatingAdmissionWebhook安装。在请求通过 K8s API 服务器的身份验证和授权之后,但在它们持久化到数据库中之前,准入控制器可以拦截请求。如果任何准入控制器拒绝请求,则拒绝整个请求。准入控制器的局限性在于它们需要编译到 kube-apiserver 中,并且只有在 apiserver 启动时才能启用。
在这里插入图片描述
1.实验环境
在这里插入图片描述
底层系统为ubuntu18.04,然后在每个node上安装k8s,并构建集群。Master node的IP地址为192.168.26.71/24,两个Worker node的IP地址为192.168.26.72/24、192.168.26.73/24。

2.在集群环境中部署Gatekeeper
在master node上,使用如下命令部署Gatekeepe:

kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/release-3.7/deploy/gatekeeper.yaml

可以看到,已经部署完成:

root@vms71:~/gatekeeper# kubectl get pods -n gatekeeper-system
NAME                                             READY   STATUS    RESTARTS   AGE
gatekeeper-audit-59d4b6fd4c-ckl7q                1/1     Running   0          5m
gatekeeper-controller-manager-66f474f785-6wt7p   1/1     Running   0          5m
gatekeeper-controller-manager-66f474f785-8pvgq   1/1     Running   0          5m
gatekeeper-controller-manager-66f474f785-k4b9l   1/1     Running   0          5m

3.创建OPA规则
在K8s中,当我们安装完Gatekeeper后,同样也需要编写OPA规则。创建OPA规则的yaml文件如下。

apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:name: blacklistimages
spec:crd:spec:names:kind: BlacklistImagestargets:- rego: |package k8strustedimagesimages {image := input.review.object.spec.containers[_].imagenot startswith(image, "xx.163.com/")not startswith(image, "yy.163.com/")}violation[{"msg": msg}] {not imagesmsg := "not trusted image!"}target: admission.k8s.gatekeeper.sh

此模板yaml文件通过CRD自定义了一个资源类型BlacklistImages。我们在其中定义了OPA规则。首先在images中匹配了以xx.163.com或者yy.163.com开头的镜像。violation中则定义了如果我们匹配到了images中所定义的镜像,则无法部署,并且报错:“not trusted image!”。

使用此yaml文件创建后。我们可以利用创建的BlacklistImages资源类型创建一个具体的黑名单实例。将规则应用到具体的资源上,例如(pod、deploy)。所使用的yaml文件如下,我们准备将OPA规则应用到pod资源中:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: BlacklistImages
metadata:generation: 1managedFields:name: pod-trusted-imagesresourceVersion: "14449"
spec:match:kinds:- apiGroups:- ""kinds:- Pod

最后使用yaml文件创建实例:

root@vms71:~/gatekeeper# kubectl apply -f gatekeeper-blacklist.yaml
blacklistimages.constraints.gatekeeper.sh/pod-trusted-images created
root@vms71:~/gatekeeper# kubectl get BlacklistImages
NAME                 AGE
pod-trusted-images   30s

4.验证OPA规则是否生效
首先,分别在两个Worker Node上将要使用的nginx镜像(已经下载)重命名:

docker tag nginx:latest xx.163.com/library/nginx
docker tag nginx:latest yy.163.com/library/nginx
docker tag nginx:latest zz.163.com/library/nginx

查看是否成功:

root@vms72:~# docker images
REPOSITORY                                           TAG       IMAGE ID       CREATED         SIZE
xx.163.com/library/nginx                             latest    ea335eea17ab   4 weeks ago     141MB
yy.163.com/library/nginx                             latest    ea335eea17ab   4 weeks ago     141MB
zz.163.com/library/nginx                             latest    ea335eea17ab   4 weeks ago     141MB

然后我们在master node上分别通过这三个镜像创建pod,查看是否能够成功。

root@vms71:~/gatekeeper# kubectl run web1 --image=xx.163.com/library/nginx --image-pull-policy=IfNotPresent
Error from server ([pod-trusted-images] not trusted image!): admission webhook "validation.gatekeeper.sh" denied the request: [pod-trusted-images] not trusted image!
root@vms71:~/gatekeeper# kubectl run web1 --image=yy.163.com/library/nginx --image-pull-policy=IfNotPresent
Error from server ([pod-trusted-images] not trusted image!): admission webhook "validation.gatekeeper.sh" denied the request: [pod-trusted-images] not trusted image!

可以看到,当我们使用xx.163.com/library/nginx和yy.163.com/library/nginx 镜像创建pod时,都会出现OPA规则报错: [pod-trusted-images] not trusted image!。当我们使用zz.163.com/library/nginx时,则可以正常创建pod:

root@vms71:~/gatekeeper# kubectl run web1 --image=zz.163.com/library/nginx --image-pull-policy=IfNotPresent
pod/web1 created
root@vms71:~/gatekeeper# kubectl get pod web1
NAME   READY   STATUS    RESTARTS   AGE
web1   1/1     Running   0          10s

说明OPA规则已经生效。

整理资料来源:
《老段CKS课程》
Kubernetes OPA:https://www.velotio.com/engineering-blog/deploy-opa-on-kubernetes
Gatekeeper install:https://open-policy-agent.github.io/gatekeeper/website/docs/install/
Docker OPA:https://www.openpolicyagent.org/docs/latest/docker-authorization/

这篇关于二十八、K8s最小服务漏洞2-OPA的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/940824

相关文章

poj 1258 Agri-Net(最小生成树模板代码)

感觉用这题来当模板更适合。 题意就是给你邻接矩阵求最小生成树啦。~ prim代码:效率很高。172k...0ms。 #include<stdio.h>#include<algorithm>using namespace std;const int MaxN = 101;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int n

poj 1287 Networking(prim or kruscal最小生成树)

题意给你点与点间距离,求最小生成树。 注意点是,两点之间可能有不同的路,输入的时候选择最小的,和之前有道最短路WA的题目类似。 prim代码: #include<stdio.h>const int MaxN = 51;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int P;int prim(){bool vis[MaxN];

poj 2349 Arctic Network uva 10369(prim or kruscal最小生成树)

题目很麻烦,因为不熟悉最小生成树的算法调试了好久。 感觉网上的题目解释都没说得很清楚,不适合新手。自己写一个。 题意:给你点的坐标,然后两点间可以有两种方式来通信:第一种是卫星通信,第二种是无线电通信。 卫星通信:任何两个有卫星频道的点间都可以直接建立连接,与点间的距离无关; 无线电通信:两个点之间的距离不能超过D,无线电收发器的功率越大,D越大,越昂贵。 计算无线电收发器D

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

poj 1734 (floyd求最小环并打印路径)

题意: 求图中的一个最小环,并打印路径。 解析: ans 保存最小环长度。 一直wa,最后终于找到原因,inf开太大爆掉了。。。 虽然0x3f3f3f3f用memset好用,但是还是有局限性。 代码: #include <iostream>#include <cstdio>#include <cstdlib>#include <algorithm>#incl

hdu 1102 uva 10397(最小生成树prim)

hdu 1102: 题意: 给一个邻接矩阵,给一些村庄间已经修的路,问最小生成树。 解析: 把已经修的路的权值改为0,套个prim()。 注意prim 最外层循坏为n-1。 代码: #include <iostream>#include <cstdio>#include <cstdlib>#include <algorithm>#include <cstri

90、k8s之secret+configMap

一、secret配置管理 配置管理: 加密配置:保存密码,token,其他敏感信息的k8s资源 应用配置:我们需要定制化的给应用进行配置,我们需要把定制好的配置文件同步到pod当中容器 1.1、加密配置: secret: [root@master01 ~]# kubectl get secrets ##查看加密配置[root@master01 ~]# kubectl get se

poj 2175 最小费用最大流TLE

题意: 一条街上有n个大楼,坐标为xi,yi,bi个人在里面工作。 然后防空洞的坐标为pj,qj,可以容纳cj个人。 从大楼i中的人到防空洞j去避难所需的时间为 abs(xi - pi) + (yi - qi) + 1。 现在设计了一个避难计划,指定从大楼i到防空洞j避难的人数 eij。 判断如果按照原计划进行,所有人避难所用的时间总和是不是最小的。 若是,输出“OPETIMAL",若

poj 2135 有流量限制的最小费用最大流

题意: 农场里有n块地,其中约翰的家在1号地,二n号地有个很大的仓库。 农场有M条道路(双向),道路i连接着ai号地和bi号地,长度为ci。 约翰希望按照从家里出发,经过若干块地后到达仓库,然后再返回家中的顺序带朋友参观。 如果要求往返不能经过同一条路两次,求参观路线总长度的最小值。 解析: 如果只考虑去或者回的情况,问题只不过是无向图中两点之间的最短路问题。 但是现在要去要回

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。